过红伞

显示全部楼层 · 发表于 2007-3-8 11:16:46

红伞3月7日病毒库扫描未查出

行为分析：tel.xls.exe  C:\WINDOWS\system32\SocksA.exe
在 Windows 文件夹中创建新的可执行文件

tel.xls.exe  C:\WINDOWS\system32\FileKan.exe
在 Windows 文件夹中创建新的可执行文件

tel.xls.exe C:\WINDOWS\system32\algsrv.exe
在 Windows 文件夹中创建新的可执行文件

在各分区创建AUTORUN.INF 并远程创建自动运行文件

   \MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv 将程序注册为自动运行

   \USER\S-1-5-21-507921405-492894223-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\BSserver 将程序注册为自动运行

注：文件属性为隐藏的系统文件，并无法修改
   大家帮忙上报吧！

[ 本帖最后由 williamcr 于 2007-3-8 11:23 编辑 ]

显示全部楼层 · 发表于 2007-3-8 11:19:49

怎么我点击附件红伞就报毒？

[ 本帖最后由鱼是一只我于 2007-3-8 11:21 编辑 ]

显示全部楼层 · 发表于 2007-3-8 11:20:15

扫描结果

显示全部楼层 · 发表于 2007-3-8 11:21:12

PS:刚升的红伞毒库
7.3.1.41|6.38.0.14|2007-03-07|2007/03/08 11:03:07

显示全部楼层 · 发表于 2007-3-8 11:22:49

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Cd\桌面\病毒.rar'
C:\Documents and Settings\Cd\桌面\病毒.rar
   [DETECTION] The file name contains an executable file extension disguised as a harmless one HEUR-DBLEXT/Worm.Gen
   [WARNING] The file was ignored!
C:\Documents and Settings\Cd\桌面\病毒.rar
  [0] Archive type: RAR

显示全部楼层 · 发表于 2007-3-8 11:22:59

我的红伞也报了，而且和二楼的一样，一点附件就报毒了

[ 本帖最后由 alleynsun 于 2007-3-8 11:24 编辑 ]

显示全部楼层 · 发表于 2007-3-8 11:24:10

我的病毒库跟你的一样

显示全部楼层 · 发表于 2007-3-8 11:25:59

我怎么用红伞什么也没查到？
幸好电脑当时装了咖啡

显示全部楼层 · 发表于 2007-3-8 11:27:40

红伞报了

根本不让下载

显示全部楼层 · 发表于 2007-3-8 11:29:07

设置了高启发也没能查出

[病毒样本] 过红伞

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 #6 alleynsun 的帖子